Может ли система IDM помочь в расследовании компьютерного преступления?

Само понятие И Б начинается именно с процесса управления доступом. Долгое время этот процесс не вызывал никаких серьезных вопросов, но с ростом IT-инфраструктуры, с развитием масштабов бизнеса этот процесс постепенно начал выходить из-под контроля. Именно тогда и начали активно появляться IDM-системы, призванные автоматизировать и упростить данный процесс.

Вообще, сегодня многие вопросы ИБ уже перестали быть чем-то узкоспециализированным и доступным лишь ограниченному кругу специалистов, теперь данные вопросы понимает и менеджмент организаций, в том числе и владельцы бизнеса. Сегодня, в XXI веке, информация стала одним из самых ценных ресурсов, никого не удивляют новости о различных компьютерных преступлениях, о взломах сайтов, мошенничествах с пластиковыми картами и даже об информационных войнах. Вы спросите, а при чем тут системы IDM? В данной статье мы попробуем рассмотреть некоторые моменты, которые могут помочь организации, внедрившей у себя IDM-систему, в расследовании компьютерного преступления.

Взглянем на работу специалиста по расследованию компьютерных преступлений. На первый план сразу выходит работа, связанная со сбором и анализом системных журналов и лог-файлов. Специалист должен понять. Безусловно, нужный срез матрицы доступа, которую можно оперативно получить из IDM-системы. поможет в расследовании. Кроме того, подробные логи по процедуре управления доступом могут так же указать на различные отклонения от стандартных процессов.

Начнем с того, что, как правило, практически любое компьютерное преступление подразумевает неправомерное получение доступа к конфиденциальной информации (не считая, конечно, таких неприятных вещей, как DDoS-атаки и пр.). И тут совершенно не важно, был ли это прямой взлом сети организации, либо это был "внутренний" инцидент, главное тут то, что некий человек-злоумышленник получил доступ к той информации, к которой не имел права доступа. Тут и выходит на первый план система управления доступом, о которой мы говорили выше. Ведь именно она призвана защищать бизнес от таких рисков, и от того насколько грамотно и эффективно эта система построена, зависит очень многое. Если говорить о примерах, то необходимо сказать о главнейшей задаче, которую решает IDM-система, - своевременное блокирование доступа. Подумайте, все ли учетные записи в вашей компании, например уволенных сотрудников, блокируются своевременно? А тем временем эти самые незаблокированные учетные записи несут в себе определенный риск, и мы уже не раз слышали о том, что бывшие сотрудники уже после ухода из компании забирают с собой часть той информации, к которой имели доступ. Это, наверное, один из наиболее важных моментов, на который стоит обратить внимание, - IDM-система является одной из важных превентивных мер борьбы с компьютерными преступлениями.

Сегодня наблюдается тенденция, и многие эксперты это подтверждают, что большинство компьютерных преступлений, связанных с хищениями корпоративной конфиденциальной информации, проводятся при участии инсайдеров, то есть тех людей, которые работают в организации. Эта тенденция объясняется довольно просто - в большинстве случаев для злоумышленников гораздо быстрее и дешевле внедрить инсайдера в компанию, нежели пытаться "пробиваться снаружи". Если говорить метафорически, инсайдеры - самый страшный сон службы ИБ. Дело в том, что IDM-система может помочь и тут, и связано это с тем, что она собирает и хранит абсолютно все сведения о предоставлении доступа. И именно они могут помочь в расследовании.

Александр Санин, коммерческий директор компании Avanpost

Журнал "Information Security/ Информационная безопасность" #6, 2012